Veröffentlicht 2. Dezember 201410 j In meinen Server-Logs sehe ich, wie von diversen IP-Adressen versucht wird, ein Lexikon und ein ganzes Telefonbuch an Passwörtern auszuprobieren. Zu gerne würde mich interessieren, was diese Bots machen würden, wenn sie Erfolg haben und in dafür einen Spielplatz-Server auf einer virtuellen Maschine bereit stellen. Doch was kann ich tun, damit sie bei einem Login-Versuch definitiv erfolgreich sind?
3. Dezember 201410 j Zu deiner Frage habe ich keine Antwort. Allerdings frage ich mich was es dir bringt wenn der die Angreifer erfolg haben? Dann wird lediglich dein Server kompromittiert. Der fungiert dann als weiterer Bot oder als Virenschleuder. So viele Möglichkeiten gibt es da nicht was die mit einem Gekaperten Server machen.
3. Dezember 201410 j Vor allem ist die Frage, wie gut die sind und was die alles so an Logfiles löschen, so dass man die Änderungen nciht wirklich nachvollziehen kann. Oftmals sind das aber auch einfach nur Scriptkiddies, die mithilfe von fertigen Programmen und Passwortlisten versuchen auf einen Server zu kommen. Aus dem Grunde habe ich den root-Zugang zu meinem SSH-Server komplett abgeschaltet und zudem noch den Port verändert auf einen High-Port. Seitdem hatte ich quasi gar keine Login-Versuche mehr auf dem SSH. @jeronimonino: Du hast noch vergessen, dass er als Filesharing-Server fungieren könnte oder illegale Dateien drüber ausgetauscht werden könnten oder aber versucht wird, dadurch an weitere Daten zu gelangen (wenn ein Mailserver drauf läuft z.B.).
3. Dezember 201410 j Autor Vielen Dank. Honeypot werde ich mal testen. Zum Thema SSH-Port umlegen: Man kann auch den String frei festlegen, der nach dem Aufbau einer Verbindung ausgegeben wird (z.B. SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2 standardmäßig bei OpenSSH/Ubuntu 14.04). Falls die Software-Konfig dafür keine Option bietet; dann eben neu compilieren. Man könnte jetzt z.B. den SSH-Server auf Port 25 legen und als Serverstring '220 mail.dummy.de ESMTP Postfix (Debian/GNU)' nennen. Dann kommen nämlich auch Portscanner, die das Echo auf eine TCP-Verbindung auswerten nicht mehr darauf, dass es sich um einen SSH-Server handelt.
4. Dezember 201410 j Wobei Portscanner (wenn nicht gerade explizit dein Server durchgescannt wird, sondern ein IP-Adress-Block) meist nur auf die well known ports (da dann ein paar ausgewählte wie Port 20-25, Port 80 und noch ein paar andere Ports auf denen standardmässig für Hacker / Scriptkiddies interessante Anwendungen laufen - also Filetransfer- und Mailprotokolle und noch ein paar andere Sachen) scannen, da der Zeitaufwand sonst um einiges steigt, wenn man alle möglichen 65536 Ports durchscannt.
9. Dezember 201410 j Autor Da ist es sowieso empfehlenswert, das Paket fail2ban zu installieren, was schon recht brauchbar vorkonfiguriert ist. Das Programm wertet Logfiles nach Verbindungsversuchen aus, die auf einen Mißbrauch hindeuten und legt darauf hin eine temporär gültige Firewall-Regel für die Absender IP-Adresse an.
Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.